Znalazłem całkiem ciekawy artykuł, źródło to darkreading.com a autorem jest Kelly Jackson Higgins. Zostawiam tłumaczenie tego:
Ciemna strona Java
Metasploit dodaje nowy moduł do najnowszych ataków Java, gdy Java staje się nowym ulubionym celem cyberprzestępców
01 grudnia 2011 | 08:08
Kelly Jackson Higgins
Mroczne czytanie
Jest to dekadenckie narzędzie ze strony programistów, ale Java pozostaje główną i wciąż często zapomnianą obecnością komputera, na którą coraz częściej celują złoczyńcy.
Dlaczego Java jako wektor ataku?
Jego przenikalność i ogromna liczba przestarzałych wersji działających na komputerach sprawiają, że Java jest ostatnio wybieranym przez hakerów czarnym kapeluszem. Liczby mówią wszystko: według danych Qualys około 80 systemów korporacyjnych obsługuje przestarzałe, niezaktualizowane wersje języka Java. Od trzeciego kwartału 2010 roku Microsoft wykrył lub zablokował około 6.9 miliona prób exploitów Java co kwartał, co daje w sumie 27.5 miliona prób exploitów w tym 12-miesięcznym okresie.
Ogółem Javy na świecie używa 3 miliardy urządzeń, a 80% przeglądarek tak. W międzyczasie niektórzy bardzo obeznani z bezpieczeństwem użytkownicy wyłączają go lub całkowicie odinstalowują jako środek ostrożności.
Twórcy popularnego narzędzia do testowania penetracji Matasploit o otwartym kodzie źródłowym dodali w tym tygodniu nowy moduł dla najnowszego ataku Java, który wykorzystuje niedawno załataną lukę w implementacji Java firmy Oracle, Rhino. Usterka w Oracle Java SE JDK oraz JRE 7 i 6 w aktualizacji 27 i wcześniejszych wersjach, o której początkowo poinformowali badacze tutaj y tutaj a potem szybko doszło do skutku w potajemnym zestawie kryminalnym, jak odkrył bloger Brian Krebs twoja strona internetowa. Krebs On Security poinformował, że atak był również przeprowadzany w ramach zestawu crimeware BlackHole.
«Java jest wszędzie tam, gdzie chce i nikt nie aktualizuje jej poprawnie«Mówi HD Moore, twórca i główny architekt Metasploit i CSO w Rapid7. «Bardzo niewiele firm aktualizuje go na swoich komputerach.»
„Oracle oferuje funkcję automatycznej aktualizacji dla języka Java, ale do korzystania z niej wymagane są uprawnienia administracyjne użytkownika komputera, na co większość firm nie zezwala„Mówi Moore.
Dyrektor Microsoft Trusted Computing, Tim Rains, na początku tego tygodnia wskazał w poście, że poprawki błędów w oprogramowaniu Java firmy Oracle są oblężone od miesięcy. «Luki w oprogramowaniu Java firmy Oracle są atakowane na stosunkowo dużą skalę od kilku miesięcy i jak wspomniałem, aktualizacje zabezpieczeń dla tych luk są dostępne od jakiegoś czasu.»Mówi Rains. «Jeśli ostatnio nie aktualizowałeś środowiska Java w swoim środowisku, powinieneś ocenić istniejące ryzyko. Organizacje muszą między innymi mieć świadomość, że mogą działać różne wersje języka Java.", On mówi.
Luka Oracle w Javie, którą Oracle załatała w zeszłym miesiącu, w zasadzie pozwala apletowi Javy na uruchamianie dowolnego kodu poza piaskownicą Java. Moore z Rapid7 mówi, że tak zwany Java Rhino Exploit (który działa na wielu platformach, w tym Windows, iOS i Linux) występuje w tle, nieświadomy dla użytkownika dotkniętego exploitem. Co ciekawe, Linux jest teraz bardziej podatny na ataki. «Oracle załatał to, Apple zażądał aktualizacji oprogramowania. Ale większość sprzedawców Dostawcy Linuksa ?? nie zażądali aktualizacji„Mówi Moore.
Jest to zwykle używane jako pierwszy etap w wieloetapowym ataku, używany do pobrania pliku wykonywalnego lub do zainstalowania bota.
Wolfgang Kandek, CTO w Qualyx, mówi, że tenier Metasploit obsługujący najnowszy exploit pomógłby zwiększyć świadomość zagrożeń związanych z przestarzałymi aplikacjami Java. «Korzyści z posiadania tego w Metasploit są takie, że mili goście mogą zademonstrować, jak działa ten [atak]", on mówi.
Dodaje, że wiele organizacji, które korzystały z przestarzałych aplikacji Java na danych klientów Qualys, to duże firmy. «Istnieje tendencja do braku dobrych procesów do łatania Javy. Leci pod radarem", On mówi.
---- I tu artykuł się kończy.
Niewątpliwie ma to wiele wspólnego z tym, o czym wspomnieliśmy wcześniej ... czyli z czym Canonical przestanie oferować Javę od Oracle w swoich repozytoriach (Ubuntu, Kubuntu, Xubuntuitp.), cóż, oczywiście, tak wyrocznia nie pozwala na dołączanie aktualizacji, nie jest tego warte, ponieważ użytkownik byłby zbyt podatny na ataki takie jak te wymienione powyżej.
Zresztą, co o tym myślisz? 😉
pozdrowienia
PD: Jeszcze wczoraj czytałem samouczek o tym, jak można zainstalować Linuksa na mojej Nokii N70, nadal nie zdecydowałem się na to LOL !!!
Używam IcedTea (OpenJDK, darmowy) przez długi czas i prawie zawsze mam go wyłączony, ponieważ prawie go nie używam ...
Mam niewiele, około 3 miesiące z OpenJDK, nie wiedziałem dokładnie, jaka jest luka w zabezpieczeniach w javie, zmieniłem to tylko po to, żeby zobaczyć jak działa libreoffice 😛
Wiem, że to prawie offtopic, ale… Linux na Nokii? Tak jak? Gdybym mógł wyjąć symbian m___ z mojego 5800, byłbym zachwycony!
Czy wiesz, że Symbian jest pierwszym kuzynem Linuksa? 😀
Zresztą nadal nie czytam wystarczająco dużo informacji o tym Linuksie na Nokii ... nie martw się, jak znajdę jakieś przyzwoite informacje, podam Ci linki 😉
KZKG ^ Gaara… nie przejmuj się mną, ale… są błędy w tłumaczeniu, na przykład:
1 .- «… sprawiają, że Java jest ostatnio wybieraną przez hakerów czarnych kapeluszy» powinno być «.. ostatnio sprawiają, że Java jest wyborem złośliwych hakerów»
2.- „Dostawca” w języku angielskim oznacza również „Dostawca” („Dostawca”), więc fraza „Ale większość dostawców Linuksa…” pozostaje bez problemu „Ale większość dostawców Linuksa…”
pozdrowienia
Nie za nic 😀
Naprawdę mi to nie przeszkadza, nie jestem profesjonalnym tłumaczem, a tym bardziej LOL !!!
Naprawię to teraz 😉
Naprawdę bardzo dziękuję, zrozumienie angielskiego nie jest dla mnie trudne, trochę skomplikowane jest dla mnie napisanie go i zamówienie po hiszpańsku 😀
pozdrowienia
🙂
To samo dzieje się ze mną z hiszpańskim; zdania zawierające lokalne wyrażenia są dla mnie trudne do zrozumienia. Chociaż są już przynajmniej niektórzy wciąż mi uciekają.
„Czarny kapelusz hakera” to wyrażenie używane do określenia złośliwego hakera iz pewnością trudno jest przetłumaczyć je na hiszpański.
Pozdrowienia i mocny uścisk
Nie wiem, ale mam świadomość, że „świadomy” nie pojawia się w słowniku RAE.
Mamy również dostawców Linuksa, takich jak Tito Mark i jego poplecznicy
Zobaczmy ... mój laptop jest Made in China, ale kontrola JAKOŚCI to seria B HP, czyli ... komponenty są produkowane w Chinach (tania siła robocza ...), ale kto decyduje, które komponenty są wystarczająco dobre, to producent 😉
„Oracle oferuje funkcję automatycznej aktualizacji dla języka Java, ale wymaga uprawnień administratora do korzystania z niej, na co większość firm nie zezwala”
„Istnieje tendencja do braku dobrych procesów poprawiania Javy”.
Więc problemem nie jest Java, ale użytkownicy nie mają zwyczaju jej aktualizować, prawda?
Szczerze mówiąc, problem z javą to bezpieczeństwo, jeśli porównamy go z flashem, to jest 20 razy bezpieczniejsza java, problem w tym, że jest to język, który się czołga. sexy jest się uczyć, ale to koszmar, LOL!
Chciałem powiedzieć * nie tak bezpieczeństwo *
Wiele razy nie mamy też takiej możliwości, Oracle z jej ograniczeniami.
Ze swojej strony używam OpenJDK i na razie żadnych skarg 🙂
Próbowałem w Debian Squeeze odinstalować sun-java i powrócić do domyślnych, a… to ostatecznie zakończyłem.
prawda jest taka, że java dawno temu była dobrą alternatywą, teraz jest po prostu wiele problemów 🙁
Jedną z zależności w Meksyku jest SAT i IMSS, która zapewnia, że musisz używać bardzo starych wersji ponad 3 lata, ponieważ nie możesz wejść na ich portale.
Pracuję głównie z użytkownikami administracyjnymi i nigdy niczego nie aktualizują i używają javy w wielu programach rządowych i które koniecznie wymagają pewnych wersji, które zawierają duże luki, jest to również temat, który instytucje takie jak IMSS i SAT w Meksyku powinny traktować poważniej i zachowaj swoje aplikacje i nie rozpowszechniaj już oprogramowania stworzonego w 2004 roku lub wcześniej z takimi problemami
Cóż, używam sun-java od jakiegoś czasu i prawda jest taka, że nie mam żadnych skarg na wyniki, o których zawsze marzyłem, a nawet wykraczam poza konwencjonalne. Openjdk do rozwoju nie jest czymś, co polecałbym nikomu, chociaż przypuszczam, że to jest moje kryterium. Twoje zdrowie